Có phải là một ý tưởng tồi khi sử dụng cùng một khóa ssh riêng trên nhiều máy tính?

Gần đây tôi đã mua một máy tính xách tay mà tôi cần truy cập vào cùng một máy chủ từ xa mà tôi làm từ máy tính để bàn của mình. Tôi nhận thấy rằng có thể chỉ cần sao chép tệp khóa riêng từ máy tính để bàn vào máy tính xách tay của mình và tránh phải thêm khóa mới vào các ~/.ssh/authorized_keystệp trên tất cả các máy chủ tôi muốn truy cập. Vì vậy, câu hỏi của tôi là:

1. Điều này thậm chí có thể?
2. Có bất kỳ ý nghĩa bảo mật không rõ ràng?
3. Đôi khi tôi sẽ đăng nhập vào máy tính để bàn của tôi từ máy tính xách tay của tôi. Nếu có sử dụng cùng một khóa, điều đó có gây ra vấn đề gì không?

Vâng, điều này là có thể. Khóa riêng của bạn không bị ràng buộc với một máy duy nhất.

Không chắc ý của bạn là gì không rõ ràng, điều đó thường chủ quan;). Đó không phải là một ý tưởng tồi nếu bạn đảm bảo rằng bạn có một bộ mật khẩu rất mạnh, ít nhất 20 ký tự.

Không có vấn đề gì về việc kết nối với cùng khóa với máy tính để bàn của bạn. Tôi sẽ thiết lập một tác nhân ssh cho khóa của bạn trên máy tính xách tay và chuyển tiếp tác nhân đến máy tính để bàn, vì vậy bạn sẽ sử dụng khóa đó trên các hệ thống khác mà bạn truy cập từ đó.

Từ trang man ssh-agent trên hệ thống Linux:

ssh-agent là một chương trình giữ các khóa riêng được sử dụng để xác thực khóa chung (RSA, DSA). Ý tưởng là ssh-agent được bắt đầu vào đầu phiên X hoặc phiên đăng nhập và tất cả các cửa sổ hoặc chương trình khác được bắt đầu với tư cách là khách hàng của chương trình ssh-agent. Thông qua việc sử dụng các biến môi trường, tác nhân có thể được định vị và tự động sử dụng để xác thực khi đăng nhập vào các máy khác bằng ssh (1).

Bạn sẽ chạy chương trình này trên máy tính xách tay của mình, hoặc là chương trình ssh-agent trên Linux / Unix (đi kèm với OpenSSH) hoặc với tác nhân puTTY nếu bạn đang sử dụng Windows. Bạn không cần tác nhân chạy trên bất kỳ hệ thống từ xa nào, nó hoàn toàn giữ khóa riêng của bạn trong bộ nhớ trên hệ thống cục bộ để bạn chỉ phải nhập cụm mật khẩu của mình một lần, để tải khóa vào tác nhân.

Chuyển tiếp tác nhân là một tính năng của máy khách ssh ( sshhoặc putty) chỉ đơn giản là duy trì tác nhân thông qua các hệ thống khác thông qua kết nối ssh.

Tôi đã từng sử dụng một khóa riêng trên tất cả các máy của mình (và một số trong số chúng tôi chỉ là người dùng chứ không phải quản trị viên), nhưng gần đây đã thay đổi điều này. Nó hoạt động có một khóa, nhưng có nghĩa là nếu bạn cần thu hồi khóa (nếu nó bị xâm phạm), thì bạn sẽ cần phải thay đổi nó trên tất cả các máy.

Tất nhiên, nếu kẻ tấn công có quyền truy cập và có thể ssh vào một máy khác, thì họ có thể lấy chìa khóa từ máy đó, v.v. Nhưng nó khiến tôi cảm thấy an toàn hơn một chút khi biết tôi có thể thu hồi chỉ một phím và khóa máy đó lại. Tuy nhiên, điều đó có nghĩa là tôi cần xóa khóa khỏi tệp ủy quyền.